Key points are not available for this paper at this time.
Redes neurais profundas têm aprimorado a detecção de síntese facial na discriminação de Conteúdo Gerado por Inteligência Artificial (AIGC). No entanto, sua segurança é ameaçada pela injeção de gatilhos cuidadosamente elaborados durante o treinamento do modelo (ou seja, ataques de backdoor). Embora as defesas de backdoor existentes e a seleção manual de dados consigam mitigar aqueles utilizando gatilhos sensíveis à visão humana, como patches ou ruídos adversariais, os mais desafiadores gatilhos naturais ainda permanecem insuficientemente pesquisados. Para investigar mais a fundo os gatilhos naturais, propomos um novo ataque de backdoor por análise e síntese contra modelos de detecção de síntese facial, que embute gatilhos naturais no espaço latente. Estudamos tal vulnerabilidade de backdoor a partir de duas perspectivas: (1) Discriminação de Modelo (Gatilho Baseado em Otimização): adotamos um modelo de detecção substituto e encontramos o gatilho minimizando a perda de entropia cruzada; (2) Distribuição de Dados (Gatilho Personalizado): manipulamos os atributos faciais incomuns na distribuição de cauda longa para gerar amostras envenenadas sem a supervisão dos modelos de detecção. Além disso, para avaliar os modelos de detecção em relação ao mais recente AIGC, utilizamos tanto a tecnologia de ponta StyleGAN quanto a Stable Diffusion para geração de gatilhos. Finalmente, esses gatilhos de backdoor introduzem características semânticas específicas nas amostras venenosas geradas (por exemplo, texturas de pele e sorrisos), que são mais naturais e robustas. Experimentos extensivos mostram que nosso método é superior em relação aos ataques de backdoor no espaço de pixels existentes em três níveis: (1) Taxa de Sucesso do Ataque: alcançando uma taxa de sucesso de ataque superior a 99 \(\%\), comparável aos métodos de referência, com menos de 0,1 \(\%\) de queda na precisão do modelo e abaixo de 3 \(\%\) de taxa de envenenamento; (2) Defesa de Backdoor: mostrando robustez superior quando enfrentando defesas de backdoor existentes (por exemplo, superando métodos de referência em mais de 30 \(\%\) após uma rotação de 15 graus); (3) Inspeção Humana: sendo menos sensível à visão humana a partir de um estudo com 46 participantes e uma coleção de 2.300 pontos de dados.
Han et al. (qui,) estudaram esta questão.